Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de 		logo
Meldung Nr: RUS-CERT-700

[Generic/Webbrowser] Cross-Site Scripting über Nicht-HTTP-Dienste
(2002-03-14 07:43:55+00)

Quelle: http://cert.uni-stuttgart.de/archive/vuln-dev/2002/02/msg00190.html

Über Serverdienste, die nicht HTTP implementieren, können Cross-Site-Scripting-Angriffe durchgeführten werden, mit denen sich beispielsweise Cookies auslesen lassen.

Betroffene Systeme
Systeme, die folgende Web-Browser verwenden:

Einfallstor
böswillige Webseiten, ausgehende Nicht-HTTP-Verbindungen (beispielsweise über POP3, TCP-Port 110).

Auswirkung
Ein Angreifer kann Cookies auslesen und somit an Daten gelangen, die zur Authentifizerung verwendet werden.

Typ der Verwundbarkeit
cross-site scripting

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Cross-Site Scripting ermöglicht es einem Angreifer, aktive Inhalte im Kontext fremder Webseiten auszuführen, um so beispielsweise an Authentifierungsinformationen zu gelangen, die in Cookies gespeichert sind. Bei dieser Variante werden die aktive Inhalte auf dem Client-Rechner zur Ausführung gebracht, in dem der Angreifer das Opfer verleitet, über ein Formular Daten an einen fremden Rechner zu schicken, der unter der passenden Domain läuft. Dabei wird ein TCP-Port verwendet, unter dem beim Zielsystem kein HTTP-basierter Dienst läuft, sondern ein solcher, der im wesentlichen die empfangenen Daten zurückschickt. Dabei werden von den verwundbaren Browser eventuell zurückgeschickte Daten im Kontext der fremden Domain ausgeführt, wodurch auf die mit dieser Domain verbunden Daten (z.B. Cookies) zugegriffen werden kann. Dies kann ueber den Echo-Dienst (TCP-Port 7), aber auch beispielsweise ueber FTP, POP3, ... erfolgen.

Gegenmaßnahmen
Derzeit liegt noch keine Reaktion der Hersteller vor.

Workaround
Systemadministratoren können den Zugriff für Clients auf unübliche TCP-Ports durch geeignete Paketfilter und Einstellungen eines Proxies verhindern. Umgekehrt können Serverbetreiber entsprechende Nicht-HTTP-Dienste gar nicht erst anbieten.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

https://cert.uni-stuttgart.de/ticker/article.php?mid=700